Kritéria pro stanovení bezpečnosti počítačových systémů

Kritéria pro stanovení bezpečnosti počítačových systémů ( angl.  Trusted Computer System Evaluation Criteria ) je standard amerického ministerstva obrany , který stanoví základní podmínky pro hodnocení účinnosti nástrojů počítačové bezpečnosti obsažených v počítačovém systému. Kritéria se používají k definování, klasifikaci a výběru počítačových systémů pro zpracování, ukládání a získávání citlivých nebo citlivých informací.

Kritéria , často označovaná jako oranžová kniha , jsou ústřední pro publikace ministerstva obrany „Rainbow Series“ . Původně vydáno National Computer Security Center  , divize Národní bezpečnostní agentury, v roce 1983 a poté aktualizováno v roce 1985 .

Analogií Orange Book je mezinárodní norma ISO/IEC 15408 , publikovaná v roce 2005. Jedná se o univerzálnější a pokročilejší standard, ale na rozdíl od populární mylné představy nenahradil Oranžovou knihu kvůli různým jurisdikcím dokumentů – Oranžovou knihu používá výhradně Ministerstvo obrany USA , zatímco ISO/IEC 15408 byla ratifikována . v mnoha zemích včetně Ruska.

Základní informace

 Ministerstvo obrany Trusted Computer System Evaluation Criteria, TCSEC , DoD 5200.28 -STD , 26. prosince  1985, lépe známé jako Oranžová kniha“ ) kvůli barvě obálky.  

Tato norma získala mezinárodní uznání a měla mimořádně silný vliv na další vývoj v oblasti informační bezpečnosti (IS).

Tato norma odkazuje na hodnotící standardy (klasifikace informačních systémů a bezpečnostních nástrojů ) a nejedná se o bezpečné, ale o důvěryhodné systémy .

V našem životě neexistují žádné absolutní systémy (včetně bezpečných). Proto bylo navrženo hodnotit pouze míru důvěry, kterou lze konkrétnímu systému dát.

Norma obsahuje koncepční základ informační bezpečnosti ( zabezpečený systém , důvěryhodný systém , bezpečnostní politika , úroveň zabezpečení , odpovědnost , důvěryhodná výpočetní základna , monitor hovorů , bezpečnostní jádro , bezpečnostní perimetr ).

Bezpečnost a důvěra jsou v této normě hodnoceny z hlediska řízení přístupu k informacím, což je prostředek k zajištění důvěrnosti a integrity .

Po „Oranžové knize“ následovala celá „ Duhová série “ . Nejvýznamnější v ní byl výklad „Oranžové knihy“ pro síťové konfigurace ( English  National Computer Security Center. Trusted Network Interpretation , NCSC-TG-005, 1987), kde první část interpretuje „Oranžovou knihu“, resp. druhá část popisuje zabezpečení služeb specifické pro síťové konfigurace.

Hlavní cíle a prostředky

Zásady

Bezpečnostní zásady by měly být podrobné, jasně definované a závazné pro počítačový systém. Existují dvě hlavní bezpečnostní zásady:

Odpovědnost

Individuální odpovědnost bez ohledu na politiku by měla být povinná. Existují tři požadavky na odpovědnost:

Záruky

Počítačový systém musí obsahovat hardwarové a/nebo softwarové mechanismy, které mohou nezávisle určit, zda je zajištěno dostatečné ujištění, že systém splňuje výše uvedené požadavky. Kromě toho musí ujištění zahrnovat ujištění, že zabezpečená část systému funguje pouze tak, jak bylo zamýšleno. K dosažení těchto cílů jsou zapotřebí dva typy záruk a jim odpovídající prvky:

Dokumentace

Každá třída má další sadu dokumentů, které jsou určeny vývojářům, uživatelům a systémovým administrátorům v souladu s jejich oprávněními. Tato dokumentace obsahuje:

Základní pojmy

Zabezpečený systém

Jde o systém, který řídí přístup k informacím tak, že s informacemi jsou oprávněny pracovat pouze oprávněné osoby nebo procesy jednající jejich jménem.

Důvěryhodný systém

Důvěryhodný systém je ve standardu chápán jako systém, který pomocí hardwaru a softwaru zajišťuje souběžné zpracování informací různých kategorií utajení skupinou uživatelů bez porušení přístupových práv.

Bezpečnostní politika

Je to soubor zákonů, pravidel, postupů a kodexů chování, které řídí, jak organizace zpracovává, chrání a distribuuje informace. Bezpečnostní politika navíc odkazuje na metody aktivní ochrany, protože bere v úvahu analýzu možných hrozeb a volbu adekvátních protiopatření.

Úroveň záruky

Zahrnuje míru důvěry, kterou lze dát architektuře a implementaci informačního systému, a ukazuje, jak správně jsou mechanismy odpovědné za provádění bezpečnostní politiky (pasivní aspekt ochrany).

Odpovědnost

Skupina odpovědnosti by měla zahrnovat následující požadavky:

Trusted Computing Base

Jedná se o soubor ochranných mechanismů informačního systému (jak softwaru, tak hardwaru), které implementují bezpečnostní politiku.

Call Monitor

Kontrola provádění určitých operací s objekty subjekty (uživateli) kontrolou přípustnosti přístupu (daného uživatele) k programům a datům povolenou sadou akcí.

Povinné vlastnosti pro monitor hovorů:

  1. Izolace (nedohledatelnost práce).
  2. Úplnost (nemožnost obejít).
  3. Ověřitelnost (schopnost analyzovat a testovat).

Bezpečnostní jádro

Konkrétní implementace call monitoru, který je zaručeně neměnný.

Bezpečnostní perimetr

Toto je hranice důvěryhodné počítačové základny.

Bezpečnostní implementační mechanismy

Libovolné řízení přístupu

Jinak dobrovolná kontrola přístupu.

Dobrovolná kontrola přístupu  je metoda omezení přístupu k objektům na základě identity subjektu nebo skupiny, do které subjekt patří. Dobrovolné hospodaření spočívá v tom, že nějaká osoba (zpravidla vlastník objektu) může dle vlastního uvážení udělit jiným subjektům nebo jim odebrat přístupová práva k objektu.

Většina operačních systémů a DBMS implementuje dobrovolnou kontrolu přístupu. Jeho hlavní výhodou je flexibilita, hlavní nevýhodou je rozptýlenost správy a složitost centralizovaného řízení a také izolace přístupových práv od dat, což umožňuje kopírování tajných informací do veřejných souborů nebo tajných souborů do nechráněných adresářů.

Zabezpečení opětovného použití objektu

Zabezpečení opakovaného použití objektů je v praxi důležitým doplňkem kontroly přístupu, který chrání před náhodným nebo záměrným vytěžením tajných informací z „odpadků“. Zabezpečení opětovného použití musí být zaručeno pro oblasti hlavní paměti (zejména pro vyrovnávací paměti s obrázky na obrazovce, dešifrovaná hesla atd.), pro diskové bloky a magnetická média obecně. Je důležité věnovat pozornost dalšímu bodu. Vzhledem k tomu, že informace o subjektech jsou také objektem, musíte se postarat o bezpečnost „opakovaného použití subjektů“. Když uživatel opustí organizaci, měli byste mu nejen zabránit v přihlášení, ale také mu odepřít přístup ke všem objektům. V opačném případě může nový zaměstnanec získat dříve používaný identifikátor a s ním všechna práva svého předchůdce.

Dnešní chytrá periferní zařízení ztěžují zabezpečení opětovného použití objektů. Tiskárna skutečně dokáže uložit několik stránek dokumentu, které zůstanou v paměti i po dokončení tisku. K jejich „vytlačení“ odtamtud je nutné přijmout speciální opatření.

Bezpečnostní štítky

Štítky jsou poskytovány pro subjekty (stupeň důvěryhodnosti) a objekty (stupeň důvěrnosti informací). Bezpečnostní štítky obsahují údaje o úrovni zabezpečení a kategorii, do které data patří. Bezpečnostní štítky se podle Orange Book skládají ze dvou částí – úrovně zabezpečení a seznamu kategorií. Úrovně zabezpečení podporované systémem tvoří uspořádanou sadu, která může vypadat například takto:

U různých systémů se může sada úrovní zabezpečení lišit. Kategorie tvoří neuspořádanou množinu. Jejich účelem je popsat předmětnou oblast, do které data patří. Ve vojenském prostředí může každá kategorie odpovídat například určitému typu zbraně. Mechanismus kategorií umožňuje rozdělit informace do přihrádek, což přispívá k lepší bezpečnosti. Subjekt nemá přístup k „cizím“ kategoriím, i když je jejich úroveň zabezpečení „přísně tajná“. Tankový specialista nerozpozná taktická a technická data letadel.

Hlavním problémem, který je třeba v souvislosti s etiketami vyřešit, je zajištění jejich celistvosti. Za prvé, nesmí tam být žádné neoznačené předměty a předměty, jinak budou v označeném zabezpečení snadno zneužitelné díry. Za druhé, pro jakékoli operace s daty musí štítky zůstat správné. To se týká zejména exportu a importu dat. Například tištěný dokument by se měl otevřít se záhlavím obsahujícím textové a/nebo grafické znázornění bezpečnostního štítku. Podobně při přenosu souboru komunikačním kanálem musí být také přenášen štítek s ním spojený, a to takovým způsobem, aby jej vzdálený systém mohl analyzovat, navzdory možným rozdílům v úrovních utajení a sadě kategorií.

Jedním z prostředků, jak zajistit integritu bezpečnostních štítků, je rozdělení zařízení na víceúrovňová a jednoúrovňová. Víceúrovňová zařízení mohou uchovávat informace různé úrovně utajení (přesněji ležící v určitém rozsahu úrovní). Jednoúrovňové zařízení lze považovat za degenerovaný případ víceúrovňového zařízení, kdy se přípustný rozsah skládá z jediné úrovně. Díky znalosti úrovně zařízení se systém může rozhodnout, zda je přípustné do něj zapisovat informace s určitým štítkem. Například pokus o tisk přísně tajných informací na veřejné tiskárně s úrovní „netajné“ selže.

Vynucená kontrola přístupu

Vynucená kontrola přístupu je založena na shodě bezpečnostních štítků předmětu a objektu. Subjekt může číst informace z objektu, pokud je úroveň zabezpečení subjektu alespoň tak vysoká jako úroveň objektu a všechny kategorie uvedené v bezpečnostním štítku objektu jsou přítomny na štítku subjektu. V takovém případě se říká, že štítek subjektu dominuje štítku objektu. Subjekt může zapisovat informace do objektu, pokud bezpečnostní štítek objektu převládá nad bezpečnostním štítkem subjektu. Zejména „důvěrný“ subjekt může zapisovat do tajných souborů, ale ne do netajných (samozřejmě musí být splněna i omezení na soubor kategorií). Na první pohled se toto omezení může zdát zvláštní, ale je celkem rozumné. Při žádné operaci by neměla být snížena úroveň utajení informací, i když opačný proces je docela možný.

Popsaný způsob řízení přístupu se nazývá vynucený, protože nezávisí na vůli subjektů, na jejichž místě mohou být i správci systému. Po opravení bezpečnostních štítků subjektů a objektů jsou opravena i přístupová práva. Z hlediska donucovací kontroly nelze vyjádřit větu „Povolit přístup k objektu X i uživateli Y“. Samozřejmě můžete změnit bezpečnostní štítek uživatele Y, ale pak s největší pravděpodobností získá přístup k mnoha dalším objektům, nejen X.

Vynucená kontrola přístupu je implementována v mnoha variantách operačních systémů a DBMS, které se vyznačují zvýšenými bezpečnostními opatřeními. Takové možnosti existují zejména pro SunOS a Ingres DBMS. Bez ohledu na praktické využití jsou principy nucené kontroly vhodným metodickým základem pro prvotní klasifikaci informací a rozdělení přístupových práv. Je pohodlnější přemýšlet z hlediska úrovní a kategorií zabezpečení než vyplňovat nestrukturovanou přístupovou matici. V reálném životě je však dobrovolná a vynucená kontrola přístupu kombinována v rámci stejného systému, což umožňuje využít silné stránky obou přístupů.

Sekce a třídy

Kritéria jsou rozdělena do 4 sekcí: D, C, B a A, z nichž nejbezpečnější je sekce A. Každá divize představuje významný rozdíl v důvěře pro jednotlivé uživatele nebo organizace. Sekce C, B a A jsou hierarchicky uspořádány do řady podsekcí nazývaných třídy: C1, C2, B1, B2, B3 a A1. Každý oddíl a třída rozšiřuje nebo doplňuje požadavky uvedené v předchozí části nebo třídě.

D - Minimální ochrana

Systémy, u kterých byla posouzena bezpečnost, ale bylo zjištěno, že nesplňují požadavky vyšších sekcí.

C - Volitelná ochrana

B - Povinná ochrana

A - Prokázaná obrana

Bezpečnostní třídy

Kritéria poprvé zavedla čtyři úrovně spolehlivosti – D, C, B a A, které jsou rozděleny do tříd. Existuje pouze šest bezpečnostních tříd - C1, C2, B1, B2, B3, A1 (uvedeny v pořadí požadavků na zpřísnění).

Úroveň D

Tato úroveň je určena pro systémy, které jsou považovány za nevyhovující.

Úroveň C

Jinak libovolná kontrola přístupu.

Třída C1

Bezpečnostní politika a úroveň zajištění pro danou třídu musí splňovat následující kritické požadavky:

  1. důvěryhodná počítačová základna musí řídit přístup pojmenovaných uživatelů k pojmenovaným objektům;
  2. uživatelé se musí identifikovat a autentizační informace musí být chráněny před neoprávněným přístupem;
  3. důvěryhodná počítačová základna musí udržovat oblast pro vlastní provádění, chráněnou před vnějšími vlivy;
  4. hardware nebo software musí být k dispozici pro pravidelnou kontrolu správného fungování hardwarových a firmwarových komponent důvěryhodné počítačové základny;
  5. musí být otestovány ochranné mechanismy (neexistují žádné způsoby, jak obejít nebo zničit ochrany důvěryhodné výpočetní základny);
  6. měl by být popsán přístup k bezpečnosti a jeho aplikace při implementaci důvěryhodné výpočetní základny.
Třída C2

Kromě C1:

  1. přístupová práva musí být pro uživatele podrobná. Všechny objekty musí podléhat kontrole přístupu.
  2. Když je uložený objekt alokován z fondu zdrojů důvěryhodné výpočetní základny, musí být odstraněny všechny stopy jeho použití.
  3. každý uživatel systému musí být jednoznačně identifikován. Každá protokolovaná akce musí být spojena s konkrétním uživatelem.
  4. důvěryhodná počítačová základna musí vytvářet, udržovat a chránit protokol protokolovacích informací týkajících se přístupu k objektům řízeným základnou.
  5. testování by mělo potvrdit absenci zjevných slabin v mechanismech pro izolaci zdrojů a ochranu registračních informací.

Úroveň B

Označuje se také jako nucená kontrola přístupu.

Třída B1

Kromě C2:

  1. důvěryhodná počítačová základna musí spravovat bezpečnostní štítky spojené s každým subjektem a uloženým objektem.
  2. důvěryhodná výpočetní základna musí zajistit implementaci nuceného řízení přístupu všech subjektů ke všem uloženým objektům.
  3. důvěryhodná počítačová základna musí zajistit vzájemnou izolaci procesů oddělením jejich adresních prostorů.
  4. skupina specialistů, kteří plně rozumí implementaci důvěryhodné výpočetní základny, musí podrobit popis architektury, zdrojové a objektové kódy důkladné analýze a testování.
  5. musí existovat neformální nebo formální model bezpečnostní politiky podporovaný důvěryhodnou výpočetní základnou.
Třída B2

Kromě B1:

  1. všechny systémové prostředky (např. ROM), které jsou přímo nebo nepřímo dostupné subjektům, by měly být označeny.
  2. k důvěryhodné výpočetní základně musí být udržována důvěryhodná komunikační cesta pro uživatele provádějícího počáteční identifikační a autentizační operace.
  3. mělo by být možné registrovat události související s organizací tajných kanálů výměny s pamětí.
  4. důvěryhodná počítačová základna musí být vnitřně strukturována do dobře definovaných, relativně nezávislých modulů.
  5. architekt systému musí pečlivě analyzovat možnosti organizace skrytých kanálů pro výměnu paměti a vyhodnotit maximální propustnost každého identifikovaného kanálu.
  6. musí být prokázána relativní odolnost důvěryhodné výpočetní základny vůči pokusům o průnik.
  7. model bezpečnostní politiky by měl být formální. Důvěryhodná počítačová základna musí mít popisné specifikace nejvyšší úrovně, které přesně a úplně definují její rozhraní.
  8. v procesu vývoje a udržování důvěryhodné výpočetní základny by měl být systém řízení konfigurace použit ke kontrole změn v popisných specifikacích nejvyšší úrovně, dalších architektonických datech, implementační dokumentaci, zdrojovém kódu, pracovní verzi objektového kódu, testovacích datech a dokumentace.
  9. testy by měly potvrdit účinnost opatření ke snížení propustnosti kanálů přenosu skrytých informací.
Třída B3

Kromě B2:

  1. pro libovolnou kontrolu přístupu musí být použity seznamy řízení přístupu označující povolené režimy.
  2. mělo by být možné registrovat výskyt nebo hromadění událostí, které ohrožují bezpečnostní politiku systému. Bezpečnostní administrátor by měl být okamžitě informován o pokusech o porušení bezpečnostní politiky a systém, pokud budou pokusy pokračovat, by je měl zastavit co nejméně bolestivým způsobem.
  3. základna důvěryhodných počítačů musí být navržena a strukturována tak, aby používala úplný a koncepčně jednoduchý obranný mechanismus s dobře definovanou sémantikou.
  4. postup analýzy musí být proveden pro dočasné skryté kanály.
  5. musí být zadána role bezpečnostního administrátora. Práva správce zabezpečení můžete získat pouze po provedení explicitních, protokolovaných akcí.
  6. měly by být zavedeny postupy a/nebo mechanismy umožňující zotavení po selhání nebo jiném narušení bez ohrožení bezpečnosti.
  7. musí být prokázána odolnost důvěryhodné výpočetní základny vůči pokusům o průnik.

Úroveň A

Říká se tomu ověřitelné zabezpečení.

Třída A1

Kromě B3:

  1. testování by mělo prokázat, že implementace důvěryhodné počítačové základny je v souladu s formálními specifikacemi nejvyšší úrovně.
  2. kromě popisných by měly být předloženy formální specifikace nejvyšší úrovně. Je nutné používat moderní metody formální specifikace a verifikace systémů.
  3. Mechanismus správy konfigurace by měl pokrývat celý životní cyklus a všechny součásti systému související se zabezpečením.
  4. musí být popsána shoda mezi formálními specifikacemi nejvyšší úrovně a zdrojovým kódem.

Stručná klasifikace

Toto je klasifikace zavedená v oranžové knize. Stručně to lze formulovat takto:

  • úroveň C - libovolná kontrola přístupu;
  • úroveň B - kontrola nuceného přístupu;
  • úroveň A - ověřitelné zabezpečení.

Ke „kritériím...“ lze samozřejmě uvést řadu vážných poznámek (jako například úplné ignorování problémů, které vznikají v distribuovaných systémech). Přesto je třeba zdůraznit, že vydání Oranžové knihy bylo bez nadsázky přelomovou událostí v oblasti informační bezpečnosti. Objevil se obecně uznávaný koncepční základ, bez kterého by i diskuse o problémech informační bezpečnosti byla obtížná.

Je třeba poznamenat, že obrovský ideologický potenciál oranžové knihy stále zůstává z velké části nevyužit. V prvé řadě se jedná o koncept technologického zajištění, pokrývající celý životní cyklus systému – od vývoje specifikací až po fázi provozu. S moderní programovací technologií výsledný systém neobsahuje informace přítomné v původních specifikacích, informace o sémantice programů jsou ztraceny.

Viz také

Odkazy